この記事は Chrome セキュリティ チーム、Shweta Panditrao による Chromium Blog の記事 "Protecting Google Chrome users from insecure forms" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
M86 以降の Chrome では、保護されたページ(HTTPS)で入力されたフォームが安全でない形で送信される場合、ユーザーに警告を表示するようになります。このような「混在フォーム」(HTTPS サイト上にあって HTTPS を使わずに送信されるフォーム)は、ユーザーのセキュリティやプライバシーのリスクとなります。このようなフォームで送信される情報は盗聴できるため、フォームの機密データが悪意のあるユーザーによって読み取られたり改ざんされたりする可能性があります。
M86 以降の Chrome では、保護されたページ(HTTPS)で入力されたフォームが安全でない形で送信される場合、ユーザーに警告を表示するようになります。このような「混在フォーム」(HTTPS サイト上にあって HTTPS を使わずに送信されるフォーム)は、ユーザーのセキュリティやプライバシーのリスクとなります。このようなフォームで送信される情報は盗聴できるため、フォームの機密データが悪意のあるユーザーによって読み取られたり改ざんされたりする可能性があります。
具体的には、Chrome に以下の変更が行われ、混在フォームの送信に関連するリスクがユーザーに通知されるようになります。
M86 以前では、混在フォームがあっても、アドレスバーの鍵アイコンが表示されなくなるだけでした。これはユーザーにとってわかりにくく、安全でないフォームでデータを送信するリスクが適切に伝わりませんでした。
デベロッパーの皆さんには、ユーザーを保護するため、サイトのフォームを HTTPS に完全に移行することをお勧めします。ご質問があれば、security-dev@chromium.org までメールをお送りください。
Reviewed by Eiji Kitamura - Developer Relations Team
- 混在フォームでは、自動入力が無効になります。
注: Chrome のパスワード マネージャーは、ログインとパスワードのプロンプトが表示されている混在フォームでも動作を継続します。Chrome のパスワード マネージャーは、ユーザーが一意なパスワードを入力するのをサポートします。安全でない形で送信されるフォームでも、パスワードを使い回すより、一意なパスワードを使う方が安全です。 - ユーザーが混在フォームへの入力を始めると、テキストによる警告でフォームが安全でないことが通知されます。
- ユーザーが混在フォームを送信しようとすると、潜在的なリスクを警告し、それでも送信するかどうかを確認する画面がページ全体に表示されます。
M86 以前では、混在フォームがあっても、アドレスバーの鍵アイコンが表示されなくなるだけでした。これはユーザーにとってわかりにくく、安全でないフォームでデータを送信するリスクが適切に伝わりませんでした。
デベロッパーの皆さんには、ユーザーを保護するため、サイトのフォームを HTTPS に完全に移行することをお勧めします。ご質問があれば、security-dev@chromium.org までメールをお送りください。
Reviewed by Eiji Kitamura - Developer Relations Team